使用ip运行iOS应用程序的Sinatra ruby​​应用程序的安全性如何安全

Question

我正在构建一个iOS应用程序，并且我有一个运行Sinatra应用程序的AWS ec2实例来刷新和交换Spotify SDK访问令牌，并且我想知道在应用程序本身上拥有诸如http://#someIP:4567之类的URL的任何安全问题。

我知道一个AWS ec2实例，你可以通过使其成为一个https来获得它的安全，但是如何以同样的方式来保护IP（如果我甚至需要这样做的话）？

这里是什么在ruby文件：

require 'sinatra' 
require 'net/http' 
require 'net/https' 
require 'base64' 
require 'encrypted_strings' 
require 'json' 

set :bind, '0.0.0.0' 

CLIENT_ID = ENV['TheClientIDGivenBySpotify'] 
CLIENT_SECRET = ENV['TheClientSecretGivenBySpotify'] 
ENCRYPTION_SECRET = ENV['cFJLyifeUJUBFWdHzVbykfDmPHtLKLGzViHW9aHGmyTLD8hGXC'] 
CLIENT_CALLBACK_URL = ENV['appForSpotify://returnAfterLogin'] 

SPOTIFY_ACCOUNTS_ENDPOINT = URI.parse("https://accounts.spotify.com") 

get '/' do 
"Working"  
end 

post '/swap' do 
    AUTH_HEADER = "Basic " + Base64.strict_encode64(CLIENT_ID + ":" + CLIENT_SECRET) 

    # This call takes a single POST parameter, "code", which 
    # it combines with your client ID, secret and callback 
    # URL to get an OAuth token from the Spotify Auth Service, 
    # which it will pass back to the caller in a JSON payload. 

    auth_code = params[:code] 

    http = Net::HTTP.new(SPOTIFY_ACCOUNTS_ENDPOINT.host, SPOTIFY_ACCOUNTS_ENDPOINT.port) 
    http.use_ssl = true 

    request = Net::HTTP::Post.new("/api/token") 

    request.add_field("Authorization", AUTH_HEADER) 

    request.form_data = { 
     "grant_type" => "authorization_code", 
     "redirect_uri" => CLIENT_CALLBACK_URL, 
     "code" => auth_code 
    } 

    response = http.request(request) 

    # encrypt the refresh token before forwarding to the client 
    if response.code.to_i == 200 
     token_data = JSON.parse(response.body) 
     refresh_token = token_data["refresh_token"] 
     encrypted_token = refresh_token.encrypt(:symmetric, :password => ENCRYPTION_SECRET) 
     token_data["refresh_token"] = encrypted_token 
     response.body = JSON.dump(token_data) 
    end 

    status response.code.to_i 
    return response.body 
end 

post '/refresh' do 
    AUTH_HEADER = "Basic " + Base64.strict_encode64(CLIENT_ID + ":" + CLIENT_SECRET) 

    # Request a new access token using the POST:ed refresh token 

    http = Net::HTTP.new(SPOTIFY_ACCOUNTS_ENDPOINT.host, SPOTIFY_ACCOUNTS_ENDPOINT.port) 
    http.use_ssl = true 

    request = Net::HTTP::Post.new("/api/token") 

    request.add_field("Authorization", AUTH_HEADER) 

    encrypted_token = params[:refresh_token] 
    refresh_token = encrypted_token.decrypt(:symmetric, :password => ENCRYPTION_SECRET) 

    request.form_data = { 
     "grant_type" => "refresh_token", 
     "refresh_token" => refresh_token 
    } 

    response = http.request(request) 

    status response.code.to_i 
    return response.body 

end 

在Xcode我会后到http://#someIP:4567/swap或http://#someIP:4567/refresh

这是安全的呢？ 我是否正确处理？ 通过将请求发送给任何人都可以访问的IP，我是否正在将自己和其他使用该应用程序的人置于有被盗或被查看信息的危险之中？

Answer 1

HTTPS仅适用于域名。不适用于IP。如果您只使用IP，那么您将面临MITM攻击，并且您的所有数据都是纯文本。任何人都可以窃听你的请求。交换请求中有一个代码参数，我猜代码是凭证正确的？如果是，最好抓住一些域名并使用aws route53进行设置。然后购买一些便宜的SSL证书将其与域相关联。然后在iOS端，启用HTTPS而不是HTTP与您的服务器进行通信。这与您的Sinatra应用程序无关。

要了解更多关于SSL/HTTPS，你可以看看这样的一些初学者教程：http://www.hongkiat.com/blog/ssl-certs-guide/